Autoridade Nacional de Proteção de Dados flexibiliza aplicação da LGPD nas MEs e EPPs. Confira entrevista com especialista Gilson Gonçalves

A Autoridade Nacional de Proteção de Dados (ANPD), órgão integrante da administração pública direta federal publicou na última sexta-feira, dia 27 de janeiro, Resolução com novas regras que devem ser seguidas pelas microempresas e empresas de pequeno porte, no que diz respeito à Lei Geral de Proteção de Dados.

O Regulamento prevê tratamento diferenciado a essas empresas, mas não as isenta de cumprir a lei, principalmente os princípios e bases legais.

Para esclarecer sobre a nova resolução, o professor Gilson Gonçalves, que está ministrando a “Mentoria da LGPD comfoco nas empresas contáveis”, no SESCAP-PR, responde os questionamentos abaixo. Confira:

1 – A ME e a EPP estão dispensadas de implementar LGPD?

Não.

Elas apenas terão um tratamento simplificado, se comparado com as demais empresas, todavia, esta flexibilização de obrigações não as isenta do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

2 – Muda alguma regra no que diz respeito aos Direitos do Titular de Dados?

Não.

Os agentes de tratamento de pequeno porte devem disponibilizar aos titulares dos dados, todas as informações sobre o tratamento que realiza.

3 – O Sindicato da categoria pode atuar como representante?

Sim.

Fica facultado aos agentes de tratamento de pequeno porte, organizarem-se por meio de entidades de representação da atividade empresarial, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Isso significa que os sindicatos que FACULTATIVAMENTE for representante de alguma ME ou EPP, DEVERÀ ter um profissional especialista em LGPD.

4 – O Mapeamento de DADOS da ME e EPP é igual ao Mapeamento de Dados das demais empresas?

Não.

Os agentes de tratamento de pequeno porte elaborará o registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada.

A ANPD em breve fornecerá este modelo simplificado.

5 – O prazo para comunicações dos Incidentes de segurança é o mesmo para todas as empresas?

Não.

As empresas em geral têm 2 dias para comunicar um incidente à ANPD, já as MEs e EPPs terão um prazo maior (4 dias).

6 – Como é feita a Comunicação do Incidente?

As empresas em geral fazem a comunicação preenchendo o formulário disponível no site da ANPD:

https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca

Já as MEs e EPPs terão um procedimento simplificado que será divulgado em breve.

7 – Todas as empresas devem nomear um Encarregado?

Sim e Não.

As empresas em geral DEVEM nomear um Encarregado pelo tratamento de Dados Pessoais, já, para os agentes de tratamento de pequeno porte a indicação é FACULTATIVA.

Quando a opção for pela não indicação, a ME e EPP deverão disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD, o que na prática nada muda, pois quem atenderá este canal de comunicação para os Titulares e ANPD deverá ser alguém que deve ter todas as habilidades de um Encarregado.

Ou seja:

A ME e EPP não é obrigada a indicar um encarregado, mas precisa ter alguém que cumpra suas atribuições (Brasil sendo Brasil... não resisti).

8 – As ME e EPP devem adotar medidas de segurança e das boas práticas, assim como as empresas em geral?

Sim.

Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais.

Esta política simplificada de segurança da informação, deve contemplar requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

9 – Quem poderá fazer uso destas regras simplificadas?

Poderão fazer uso desta simplificação todas as MEs e EPPs que se enquadrem no conceito trazidos pela Lei Complementar 123. Todavia, se elas realizem tratamento de alto risco para os titulares elas seguirão as regras normais.

10 – O que é considerado tratamento de Alto Risco?

É considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

I - critérios gerais:

a) tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, ou

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II - critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Material fornecido por:

GILSON GONÇALVES é DPO – EXIN Credenciamento Internacional, Privacy and Data Protection Foundation, Privacy and Data Protection Essentials, -  Information Security Foundation based on ISO IEC 27001 e Privacy and Data Protection Practitioner.

Curso sobre LGPD nas empresas contábeis começa dia 10

50 milhões de reais ou 2% do faturamento de sua empresa! Esse é o valor da multa para a empresa que infringir a Lei Geral de Proteção de Dados (LGPD). Para capacitar os empresários a fazerem a adequação de sua emprega à LGPD o SESCAP-PR vai realizar mais uma turma do curso Mentoria da LGPD com foco nas empresas contábeis". As inscrições estão abertas. Clique AQUI